AWSでLambda関数を作成する時に関数に対してロールの割り当てができません

AWSLambdaで関数を作成しようとしていたのですが、ロールの割り当てができずエラーが出てしまいます。
Lambdaのページから、関数の作成→一から作成と進んで、関数名・ランタイムの箇所を入力し、デフォルト実行ロールの変更の箇所は「AWS ポリシーテンプレートから新しいロールを作成」を選択し、ポリシーテンプレートオプションは「基本的なLambda@edgeアクセス権限（CloudFrontトリガーの場合）」を選択しました。
それで、関数の作成ボタンを押したところ、以下のようなエラーが出てしまいます。

User: arn:aws:iam::<私のIAM> is not authorized to perform: iam:CreateRole on resource: arn:aws:iam::<ロールのIAM>:role/service-role/basic-lambda-edge-access with an explicit deny

エラーメッセージに合わせて、以下のようなポリシーを作成し、私のIAMにアタッチしたのですが、同様のエラーメッセージが出てしまいます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/*",
                "arn:aws:iam::*:user/*"
            ]
        }
    ]
}

どのような権限を私のIAMユーザーに割り当てれば関数を作成することがでるか、アドバイスをいただきたいです。
よろしくお願い致します。

行動規範の内容に同意します

回答1件

ベストアンサー

with an explicit deny（明示的拒否）とのエラーです。
いくら許可をしても明示的拒否があればそちらが優先されます。
アクセスを拒否するポリシーがアタッチされていたり、そういうIAMグループに所属していたりしませんか？

投稿2021/04/13 11:27

workshajikoma

総合スコア110

sassan738

2021/04/13 11:43

回答いただきありがとうございます。クループには所属していなかったです。アタッチしてあるポリシーは、 AmazonS3FullAccess AdministratorAccess IAMUserChangePassword AWSCompromisedKeyQuarantine と、最初の質問で記入したポリシーです。ちょっと万策尽きた感があるので、AWSのサポートプランに加入して質問しようと思います。

sassan738

2021/04/13 15:13

エラーの原因なのですが、AWSCompromisedKeyQuarantineが私のIAMに付与されていた事でした。以前ちょっとやらかした事が原因で自動的に付与されていたようです。回答いただきありがとうございました。